Deep Discovery Email Inspectorの証明書に署名する

証明書の署名はオプションです。システムのすべての証明書を配布せず、CA証明書のみを配布する場合は、証明書に署名する必要があります。Deep Discovery Email Inspector証明書がCAにより信頼されていることを確認するには、CA秘密鍵 (/tmp/root_key.pem) によってDeep Discovery Email Inspectorの認証要求に署名する必要がありますが、これを実行する前にCAのOpenSSL環境を設定する必要があります。

  1. OpenSSL設定ファイルの/etc/pki/tls/openssl.cnfをアップデートします。

    [ CA_default ]/ dirパラメータの定義を見つけて、/etc/pki/CAに変更します。

    [ CA_default ]

    dir = /etc/pki/CA # Where everything is kept

  2. /etc/pki/CAディレクトリに空のindex.txtファイルを作成します。

    # touch /etc/pki/CA/index.txt

  3. /etc/pki/CAディレクトリに、初期の内容を記述したシリアルファイルを作成します。

    # echo "01" > /etc/pki/CA/serial

  4. 証明書に署名します。

    #openssl ca -days 365 -cert /tmp/root_req.pem -keyfile /tmp/root_key.pem -in /tmp/ddei_req.pem -out /tmp/ddei_cert.pem -outdir /tmp

    Using configuration from /etc/pki/tls/openssl.cnf

    Enter pass phrase for /tmp/root_key.pem:Trend

    Check that the request matches the signature

    Signature ok

    Certificate Details:

    Serial Number: 1 (0x1)

    Validity

    Not Before: Oct 22 09:35:52 2010 GMT

    Not After : Oct 22 09:35:52 2011 GMT

    Subject:

    countryName = DE

    stateOrProvinceName = Bavaria

    organizationName = トレンドマイクロ

    organizationalUnitName = Global Training

    commonName = ddei.course.test

    X509v3 extensions:

    X509v3 Basic Constraints:

    CA:FALSE

    Netscape Comment:

    X509v3 Subject Key Identifier:

    82:15:B8:84:9C:40:8C:AB:33:EE:A4:BA:9C:2E:F6:7E:C0:DC:E8:1C X509v3

    Authority Key Identifier:

    keyid:5B:B4:06:4D:8D:12:D0:B3:36:A7:6B:3A:FD:F2:C8:83:4A:DD:AA: BD

    Certificate is to be certified until Oct 22 09:35:52 2011 GMT (365 days)

    Sign the certificate? [y/n]:y

    1 out of 1 certificate requests certified, commit? [y/n]y

    Write out database with 1 new entries

    Data Base Updated

    #

    このファイルには、CAによって署名されたDeep Discovery Email Inspector証明書が追加されています。このファイルは、Deep Discovery Email Inspectorと通信するすべてのサーバとクライアントに配布する必要があります。